2조원 규모 Bybit 해킹: 운영 보안 실패의 시대가 도래하다

10 hours ago 2

2025년 2월 21일, Bybit 거래소에서 멀티시그 콜드월렛이 해킹되어 약 15억 달러 상당의 암호화폐가 유출
해커들은 다중 서명자의 기기를 해킹하여, 지갑 인터페이스에서 서명자들이 보게 되는 내용을 조작
서명자들은 일반적인 거래를 수행하는 것으로 착각한 채 해커가 원하는 서명 데이터를 제공
이는 최근 중앙화 거래소 해킹 방식이 코드 취약점이 아닌 운영 및 인적 보안 취약점을 공략하는 방향으로 변화하고 있음을 시사함

최근 유사 해킹 사례

WazirX 거래소(2024년 7월): 2억 3천만 달러 손실
Radiant Capital(2024년 10월): 5천만 달러 손실
Bybit 거래소(2025년 2월): 15억 달러 손실

북한 해킹 조직 연관성

Arkham Intelligence 및 ZachXBT의 분석에 따르면, 이번 공격은 북한 해커 조직과 연관된 것으로 확인
북한의 정찰총국(RGB) 산하 TraderTraitor, Jade Sleet, UNC4899, Slow Pisces 등의 국가 지원 해킹 그룹이 연루됨
RGB 해커 조직의 공격 방식
- 소셜 엔지니어링 캠페인을 통해 시스템 관리자, 개발자, 재무팀 직원을 표적으로 삼음
- 맞춤형 채용 사기 및 피싱 공격으로 주요 인력을 감염시킴
- 다중 플랫폼 악성코드를 활용해 Windows, MacOS, 다양한 암호화폐 지갑을 감염
- 사용자가 보는 거래 화면을 조작하여 서명을 유도

기존 보안 시스템이 무력화되는 이유

공격자들은 반복적인 공격을 통해 도구와 기법을 지속적으로 개선
일반적인 보안 조치로는 방어가 어려운 이유:
- 운영 보안이 미흡한 조직은 큰 위험에 노출됨
- 다중 서명 시스템조차 조작 가능
- 기존의 전통적인 보안 솔루션(EDR, 방화벽 등)으로 탐지하기 어려운 형태의 공격 기법 사용

암호화폐 보안의 새로운 현실

기존의 스마트 컨트랙트 보안 강화만으로는 충분하지 않음
운영 보안 실패가 가장 큰 위협 요소가 됨
기업들은 해킹 가능성을 전제로 한 보안 전략을 구축해야 함

기업이 반드시 도입해야 할 보안 전략

인프라 분리
- 거래 서명 시스템은 일반 운영 네트워크와 물리적/논리적으로 분리해야 함
- 전용 하드웨어 및 네트워크, 엄격한 접근 통제 적용
다층 방어(Defense-in-Depth)
- 하드웨어 지갑, 다중 서명, 거래 검증 도구를 결합하여 복합적인 보안 시스템 구축
- 단일 보안 조치가 아닌 중첩된 보안 전략이 필수
조직 차원의 대비책
- 운영 및 기술적 위협 모델링 수행
- 외부 보안 감사 및 평가 정기적으로 실시
- 보안 훈련 및 해킹 대응 시뮬레이션 주기적으로 진행
- 구체적인 사고 대응 계획 수립 및 정기 테스트

Trail of Bits의 보안 가이드

주요 보안 가이드:

결론: 더 이상 기존 보안으로는 방어 불가능

Bybit 해킹 사건은 암호화폐 보안이 새로운 국면으로 진입했음을 보여줌
운영 보안 강화 없이는 대형 해킹을 피할 수 없음
보안 연구자 Tayvano의 강경한 발언이 현재 상황을 단적으로 설명함:

"한 번 기기가 감염되면 끝장이다. 만약 키가 핫월렛이나 AWS에 있다면 즉시 해킹당한다. 키가 콜드월렛에 있어도 해커는 단지 조금 더 노력할 뿐이다. 어쨌든 결국 해킹당할 것이다."

기업이 당장 해야 할 조치

운영 보안 리스크 평가 실시
Air-Gapped 서명 인프라 도입
국가 지원 해킹 조직 대응 경험이 있는 보안팀과 협력
사고 대응 계획 수립 및 정기 테스트

"다음 10억 달러 해킹은 시간 문제, 대비하지 않으면 피해는 불가피함"

Read Entire Article